群暉科技 Synology 與台灣電腦網路危機處理暨協調中心(TWCERT/CC)共同宣布,日前全球多個品牌NAS(Network Attached Storage)遭駭客暴力破解管理員密碼加密資料勒索的攻擊事件,已透過與國際資安組織之協作,於7月26日撤下駭客用以執行攻擊的主機,並控制住災情擴散。Synology與TWCERT/CC並呼籲全球NAS用戶加強系統安全設定,以確保資料安全無虞。
Synology於7月19日開始陸續接獲用戶回報NAS資料遭到加密勒索,分析樣本後排除駭客利用DSM系統漏洞進行攻擊,而是針對使用預設Admin帳戶及弱密碼的用戶進行密碼組暴力破解取得管理員權限後,加密檔案再對受害者勒索贖金。
7月22日,Synology透過全球技術支援部門統計回報受影響的Synology用戶達數十位,並評估全球有上萬台不同品牌的NAS可能暴露在風險中,為此次事件潛在受攻擊對象。是日,Synology追蹤並連回駭客執行攻擊控制與命令的伺服器,同時通報TWCERT/CC啟動國際協作,並於7月26日透過丹麥的CFCS-DK根據IP位置找到攻擊來源的主機,撤下駭客用以執行攻擊的主機。
Synology產品安全事件應變團隊經理李宜謙表示,Synology 一直將保護用戶資料安全視為最重要的任務,藉由長期積極參與國際資安社群互動,Synology 得以串聯台灣與全球資安社群的網絡,在事件發生時快速與全球資安組織展開協作,讓災情不致全面性爆發。
TWCERT/CC 負責人丁綺萍表示,此次事件有賴於良好的合作關係才能快速反應、讓TWCERT/CC取得樣本進一步啟動跨國資安組織協作,及早掌握並控制住災情。未來期待看到更多品牌參考Synology的作法建置產品安全團隊,並積極與資安組織互動。
儘管事件已獲控制,Synology仍建議無論是Synology或其它品牌NAS用戶參考以下步驟,強化資料安全性:
- 啟用防火牆功能,僅在必要的時候開啟對外網路埠。
- 啟用兩步驟驗證,阻斷惡意來源嘗試登入的可能。
- 停用系統預設的「Admin」帳號。
- 使用強度較強的密碼,並啟動密碼強度限制規則。
- 啟用自動封鎖來阻擋嘗試登入次數過多的IP。
- 執行安全性諮詢中心來為系統做完整的安全性評估。
- 啟用Synology Hyper Backup套件執行多版本備份,將NAS中的檔案備份至本地、遠端、公有雲等多個目的地,並在過程執行安全加密,限制存取權限。